深入WindowsServer2008的自我監(jiān)控

為了親身體驗Windows Server 2008系統(tǒng)與眾不同的試用感覺，相信很多用戶創(chuàng)建條件、強行為自己的計算機升級安裝了該系統(tǒng)。盡管該系統(tǒng)的運行穩(wěn)定性以及安全防范性能得到了顯著提升，不過在Internet網(wǎng)絡(luò)病毒與木馬瘋狂肆虐的今天，Windows Server 2008系統(tǒng)仍然還會時刻受到各式各樣的安全威脅，比方說核心共享內(nèi)容被遠(yuǎn)程修改、系統(tǒng)被非法入侵等，事實上不少安全威脅在真正發(fā)生之前都存在一些征兆現(xiàn)象，如果我們能夠及時監(jiān)控到這些可疑跡象，那么就能將安全隱患消除掉，那么我們該采取什么措施來自動監(jiān)控Windows Server 2008系統(tǒng)的可疑事件呢?這樣的任務(wù)在Windows Server 2008系統(tǒng)下很簡單就能做到，因為該系統(tǒng)新增加了“任務(wù)附加到事件”功能，我們可以深入挖掘該功能，來實現(xiàn)Windows Server 2008系統(tǒng)自我監(jiān)控的目的!
    自我監(jiān)控思路
    大家知道，每一個Windows系統(tǒng)都自帶了事件查看器程序，不過與傳統(tǒng)操作系統(tǒng)不一樣的是，Windows Server 2008系統(tǒng)將常用的任務(wù)計劃功能整合到事件查看器程序中了，有了這項功能的支持，我們可以在服務(wù)器系統(tǒng)中針對一些特殊系統(tǒng)事件附加任務(wù)計劃，讓該運行任務(wù)在特殊系統(tǒng)事件發(fā)生的那一刻及時提醒我們;當(dāng)Windows Server 2008系統(tǒng)中的需要被監(jiān)控的系統(tǒng)事件真正發(fā)生時，附加在該系統(tǒng)事件上的特定任務(wù)計劃就能被自動觸發(fā)，到時它就能根據(jù)事先設(shè)置好的方式來提醒我們采取應(yīng)對措施了，這樣一來就能實現(xiàn)不用外力工具，Windows Server 2008系統(tǒng)就能完成自我監(jiān)控的任務(wù)了。
    依照上述思路，我們只要先在Windows Server 2008系統(tǒng)中對需要監(jiān)控的系統(tǒng)事件啟用審核功能，確保系統(tǒng)的事件查看器程序能夠自動跟蹤、記憶目標(biāo)系統(tǒng)事件，接著人為創(chuàng)建一個特殊系統(tǒng)事件，讓事件查看器程序自動生成這個事件記錄，例如我們簡單地注銷系統(tǒng)并重新登錄一次，那么Windows Server 2008系統(tǒng)的事件查看器程序就能自動把這個系統(tǒng)登錄事件記憶保存下來，有了具體的事件記錄后，下面我們就能利用“任務(wù)附加到事件”功能，將自動監(jiān)控報警信息通過任務(wù)計劃的方式附加到具體的事件記錄上，日后當(dāng)相同的系統(tǒng)再次發(fā)生時，附加的任務(wù)計劃就能被自動觸發(fā)，到時我們就能及時收到附加任務(wù)計劃發(fā)送出來的報警信息了，看到報警信息后，我們要做的工作就是及時采取安全應(yīng)對措施，防范這類有安全威脅的系統(tǒng)事件再次發(fā)生，那樣一來Windows Server 2008系統(tǒng)的安全性在某種程度上又得到了更進(jìn)一步地強化。為方便敘述，本文就以自動監(jiān)控系統(tǒng)登錄事件為例，讓W(xué)indows Server 2008系統(tǒng)對那些偷偷登錄系統(tǒng)的非法行為進(jìn)行自動監(jiān)控，謹(jǐn)防惡意攻擊者暗地里攻擊Windows Server 2008系統(tǒng)。
    審核待監(jiān)控事件
    Windows Server 2008系統(tǒng)內(nèi)置的事件查看器程序在默認(rèn)狀態(tài)下，不會對類似系統(tǒng)登錄這樣的事件進(jìn)行跟蹤記錄的，也就是說平時我們登錄系統(tǒng)時，事件查看器程序并沒有這方面的事件記錄，要想對系統(tǒng)登錄這樣的事件進(jìn)行監(jiān)控，我們首先要做的工作自然就是為待監(jiān)控事件啟用審核功能，讓事件查看器程序可以自動記憶保存這些事件記錄。在審核待監(jiān)控事件時，我們可以按照下面的操作來進(jìn)行：
    首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中逐一點擊“設(shè)置”、“控制面板”選項，打開對應(yīng)系統(tǒng)的控制面板窗口，再用鼠標(biāo)雙擊該窗口中的“管理工具”圖標(biāo)選項，進(jìn)入Windows Server 2008系統(tǒng)的管理工具列表界面;
    其次雙擊管理工具列表界面中的“本地安全策略”圖標(biāo)選項，在其后出現(xiàn)的本地安全策略編輯器界面中，依次展開左側(cè)子窗格區(qū)域中的“安全設(shè)置”/“ 本地策略”/“審核策略”分支選項，在“審核策略”分支選項下面，選中“審核登錄事件”選項，并用鼠標(biāo)右鍵單擊該選項，從彈出的快捷菜單中執(zhí)行“屬性”命令進(jìn)入的審核登錄事件屬性設(shè)置對話框;
    下面同時將該設(shè)置對話框中的“成功”、“失敗”復(fù)選項都選中，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來日后任何一位用戶無論有沒有成功登錄進(jìn) Windows Server 2008系統(tǒng)，對應(yīng)系統(tǒng)的事件查看器程序都會自動把這次系統(tǒng)登錄事件記錄保存到事件查看器列表中，仔細(xì)查看這些記錄，我們就能大概判斷出當(dāng)前服務(wù)器系統(tǒng)中是否存在非法登錄事件發(fā)生了。
    手工生成目標(biāo)事件
    考慮到任務(wù)計劃只能與具體的某件事件綁定在一起，為此要想利用任務(wù)計劃功能對目標(biāo)系統(tǒng)事件進(jìn)行自動監(jiān)控報警，我們還需要手工創(chuàng)建一個與待監(jiān)控事件性質(zhì)一樣的具體事件記錄;例如，要手工生成系統(tǒng)登錄事件記錄時，我們只要在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“關(guān)機”選項，選中“待機”項目，單擊“確定”按鈕，將當(dāng)前系統(tǒng)注銷掉，之后重新以系統(tǒng)管理員賬號登錄一次 Windows Server 2008服務(wù)器系統(tǒng)，當(dāng)系統(tǒng)登錄操作成功后，對應(yīng)系統(tǒng)的事件查看器程序就會自動將這次登錄操作記錄下來了。
    在查看具體的事件記錄時，我們可以在Windows Server 2008服務(wù)器系統(tǒng)桌面中用鼠標(biāo)右鍵單擊“計算機”圖標(biāo)，從彈出的快捷菜單中點選“管理”命令，打開對應(yīng)系統(tǒng)的計算機管理控制臺界面;
    其次在該管理控制臺界面的左側(cè)顯示區(qū)域，用鼠標(biāo)依次展開“診斷”/“事件查看器”/“Windows日志”/“安全”分支選項，在對應(yīng)“安全”分支選項的右側(cè)顯示區(qū)域，我們會看到事件ID為4625的系統(tǒng)登錄事件記錄，用鼠標(biāo)雙擊該事件記錄，打開目標(biāo)事件屬性設(shè)置窗口，在該窗口的“常規(guī)”標(biāo)簽頁面中，我們發(fā)現(xiàn)系統(tǒng)自動生成了賬戶登錄失敗事件，并且還能查看到究竟是哪一個用戶在哪一臺工作站上嘗試對本地Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行登錄操作的，仔細(xì)分析這些信號，我們或許就能大概判斷出當(dāng)前是否有非法攻擊者在偷偷登錄本地服務(wù)器系統(tǒng)了。
    附加監(jiān)控報警任務(wù)
    由于我們現(xiàn)在是要對系統(tǒng)登錄事件進(jìn)行自動監(jiān)控，為此我們下面需要把監(jiān)控報警任務(wù)附加到系統(tǒng)登錄事件上，以確保Windows Server 2008服務(wù)器系統(tǒng)下次再次發(fā)生相同的事件時，被附加的指定任務(wù)能夠自動觸發(fā)運行，以便及時向我們發(fā)送報警提示信息，從而實現(xiàn)自動監(jiān)控目的。在附加監(jiān)控報警任務(wù)到系統(tǒng)登錄事件時，我們可以按照下面的操作來進(jìn)行：
    首先按照前面的操作步驟，打開Windows Server 2008服務(wù)器系統(tǒng)的事件查看器程序，打開我們希望監(jiān)視的安全事件日志，找到前面自動生成的相應(yīng)事件記錄，用鼠標(biāo)右鍵點選該系統(tǒng)登錄事件，從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令，當(dāng)然也可以從右側(cè)操作列表區(qū)域中點選“將任務(wù)附加到此事件”選項;
    其次系統(tǒng)屏幕上將會自動出現(xiàn)一個向?qū)崾敬翱冢覀兛梢詾楫?dāng)前這個任務(wù)設(shè)置一個有針對性的名字和描述性文字，例如這里筆者將該任務(wù)計劃的名稱定為“自動監(jiān)控報警”，之后單擊該窗口中的“下一步”按鈕，隨后系統(tǒng)屏幕上會彈出一些提示說明文字，根據(jù)這些說明文字我們可以確認(rèn)這些內(nèi)容的準(zhǔn)確性，如果看到這些內(nèi)容都正確無誤時，繼續(xù)單擊向?qū)Т翱谥械摹跋乱徊健卑粹o;
    這時系統(tǒng)屏幕上會出現(xiàn)一個設(shè)置窗口，在這里我們可以選擇使用不同的報警提示方式，例如可以選用顯示消息、發(fā)送電子郵件或啟動程序，要是我們選用了“啟動程序”提示方式時，點選“下一步”按鈕后，會自動看到選擇程序?qū)υ捒?，單擊其中的“瀏覽”按鈕，再查找和選擇任何可執(zhí)行文件、批處理文件或腳本，當(dāng)然我們也可以直接輸入目標(biāo)應(yīng)用程序的啟動路徑，最后單擊“完成”按鈕結(jié)束任務(wù)計劃的附加操作;
    要是我們選用了“發(fā)送電子郵件”提示方式時，點選“下一步”按鈕后，我們會自動看到一個發(fā)送電子郵件編輯對話框，在這里我們需要正確地添加任何需要的報警內(nèi)容，比方說發(fā)信人、收信人、郵件主題、報警內(nèi)容等，甚至我們還能直接將報警內(nèi)容以附件文件形式添加到郵件當(dāng)中，最后還需要設(shè)置好發(fā)送郵件所需的SMTP 服務(wù)器地址;
    要是我們選用的是“顯示消息”提示方式，那么點選“下一步”按鈕后，我們可以在其后的設(shè)置窗口中添加報警消息的標(biāo)題以及具體的報警內(nèi)容，這個方式其實就是新建一個告警提示窗口。當(dāng)我們在瀏覽事件查看器的具體日志內(nèi)容時，或許會看到每隔一段時間系統(tǒng)會發(fā)生一個危險事件，不過要是我們不及時打開事件查看器去查看時，我們根本沒有辦法在第一時間知道該事件的發(fā)生，現(xiàn)在有了這個顯示消息提示方式，日后一旦發(fā)生同樣的危險事件時，我們就能在第一時間知道并采取安全應(yīng)對措施了。
    很顯然，為了實現(xiàn)及時、自動監(jiān)控目的，我們在這里應(yīng)該選用“顯示消息”提示方式，之后依照屏幕提示輸入好消息標(biāo)題以及報警主題內(nèi)容，比方說輸入“注意了，可能有非法賬號在偷偷登錄系統(tǒng)!”，最后單擊“完成”按鈕保存好上述任務(wù)計劃的創(chuàng)建操作。
    實現(xiàn)自動監(jiān)控報警
    到了這里，Windows Server 2008系統(tǒng)就能實現(xiàn)自動監(jiān)控報警的目的了。日后當(dāng)有非法用戶偷偷登錄Windows Server 2008系統(tǒng)時，事先附加到系統(tǒng)登錄事件上的指定報警任務(wù)就會自動觸發(fā)運行，而該任務(wù)運行成功后，Windows Server 2008系統(tǒng)屏幕上會自動出現(xiàn)“注意了，可能有非法賬號在偷偷登錄系統(tǒng)!”這樣的報警提示信息，見到這樣的提示信息，我們就能知道當(dāng)前有人在偷偷登錄本地服務(wù)器系統(tǒng)，此時我們應(yīng)該打開Windows Server 2008服務(wù)器系統(tǒng)的事件查看器程序窗口，找到系統(tǒng)自動生成下來的相應(yīng)事件記錄，用鼠標(biāo)雙擊該目標(biāo)事件，進(jìn)入該事件的具體屬性設(shè)置窗口，從中查看究竟是哪一位用戶、在哪一臺計算機上嘗試登錄操作，如果發(fā)現(xiàn)是陌生的用戶或陌生的計算機，那么我們應(yīng)該及時采取安全措施來阻止他們繼續(xù)非法登錄，以便確保 Windows Server 2008服務(wù)器系統(tǒng)的運行安全。